Osquery je bezplatný, otvorený a výkonný multiplatformový inštrumentačný, monitorovací a analytický rámec operačného systému založený na platforme SQL pre systémy Linux, FreeBSD, Windows a Mac/OS X, ktorý vytvoril Facebook. Je to jednoduchý a ľahko použiteľný prieskumník operačného systému.
Kombinuje množstvo nástrojov, ktoré vykonávajú nízkoúrovňovú analýzu a monitorovanie operačného systému; tieto nástroje odhaľujú operačný systém ako vysokovýkonnú relačnú databázu, ako napr MySQL/MariaDB, PostgreSQL a ďalšie, kde sú koncepty operačného systému reprezentované v tabuľkovej forme, čo umožňuje používateľom používať príkazy SQL na monitorovanie a analýzu systému.
Osquery Na implementáciu tabuliek SQL použite jednoduchý API a rozšírenia API, existuje zbierka tabuliek, ktoré sú pripravené na použitie, a píšu sa ďalšie. Niektoré tabuľky je možné nájsť iba v konkrétnom operačnom systéme, napríklad tabuľku kernel_modules nájdete iba v systémoch Linux.
Okrem toho môžete spúšťať dotazy na monitorovanie a analýzu stavu operačného systému na jednom hostiteľovi prostredníctvom
osqueryi shell, alebo na niekoľkých hostiteľoch v sieti prostredníctvom plánovača alebo ich spustite z ľubovoľnej z vašich vlastných aplikácií pomocou rozhraní osquery Thrift API.The Osquery je možné nainštalovať z oficiálneho archívu pomocou výstižnýmňam alebo dnf nástroj na správu balíkov vo vašej príslušnej distribúcii Linuxu, ako je to znázornené.
$ export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B. $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY. $ sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main ' $ sudo apt aktualizácia. $ sudo apt nainštalovať osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo yum-config-manager-povoliť osquery-s3-rpm-repo. $ sudo yum nainštalovať osquery.
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery. $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo. $ sudo dnf config-manager --set-enabled osquery-s3-rpm. $ sudo dnf nainštalovať osquery.
Po úspešnej inštalácii Osquery vo svojom systéme spustite súbor osqueryi shell, aby sa začal pýtať na stav vášho operačného systému podľa obrázku.
$ osqueryiPoužitie virtuálnej databázy. Potrebujete pomoc, zadajte '.help' osquery>
Ak chcete získať súhrnné informácie o systéme Linux, spustite nasledujúci príkaz.
osquery> SELECT * FROM system_info;
Ak chcete získať dobre naformátovaný zoznam všetkých používateľov systému Linux, spustite nasledujúci dotaz.
osquery> VYBRAŤ * OD používateľov;
Ak chcete získať zoznam všetkých modulov jadra Linuxu a ich stavu, spustite nasledujúci dotaz.
osquery> VYBRAŤ * Z modulov jadra;
Ak chcete získať a zoznam všetkých nainštalovaných balíkov RPM na CentOS, RHEL a Fedora spustite nasledujúci dotaz.
osquery> .všetky rpm_packages;
Ak chcete získať informácie o spustení procesov Linux, spustite nasledujúci dotaz.
osquery> VYBRAŤ ROZDELIŤ procesy.názov, posluchové_porty.port, procesy.pid Z POČÍTAČOVÝCH_portov PRIPOJIŤ SA K POUŽÍVANIAM (pid) KDE počúvať_porty.adresa = '0.0.0.0';
Ak bežíte osquery na ploche a majú Firefox alebo Chrome nainštalované, môžete zobraziť zoznam všetkých svojich doplnkov pomocou nasledujúceho dotazu.
osquery> .všetky firefox_addons; osquery> .všetky chrome_extensions;
Ak chcete zobraziť zoznam všetkých implementovaných tabuliek v systéme Linux, použite príponu .taby príkaz, ako je znázornené.
osquery> .taby; #zoznam všetkých implementovaných tabuliek. osquery> .pomoc; #zobraziť pomocnú správu.
Osquery poskytuje aj monitorovanie integrity súborov (FIM), a funkcie auditovania procesov a soketov a ďalšie, takže ide o nástroj na detekciu narušenia, ktorý si však vyžaduje nasadenie určitých konfigurácií, než ho na takýto účel nasadíte. Ďalšie informácie nájdete na stránkach Úložisko Osquery Github.